 | | |  | Web servers and transmissions security |  |
Location and date
9 Janvier 2004 : le responsable de la formation continue quittant l'EMIAE, le directeur général de l'école a annulé cette formation. HSC s'en excuse vivement et Hervé Schauer reste à votre disposition pour vos questions.
Date: 14-16 April 2004
Place:
Hôtel Idou Anfa
85, Boulevard d'Anfa
Casablanca
Téléphone : +212 22 261 560
Télécopie : +212 22 220 617
Context: Tutorial organized by the EMIAE
Organizer and registration
EMIAE
Inscriptions :
Madame Najat Chouraichy
L'EMIAE
7, Rue Champigny, Quartier Belvédère
Casablanca
Maroc
Courriel : infofc@segepec.com
Téléphone : +212 22 543 436
Télécopie : +212 22 304 548
Goals and public
Acquérir la maitrise de la sécurisation d'un serveur web et des applicatifs associés. Le cours est principalement orienté vers l'utilisation des serveurs Apache et Internet Information Services (IIS).
Ce cours s'adresse aux chef de projets web, intranet et Internet, aux développeurs et administrateurs de serveurs web et aux responsables sécurité.
La connaissance préalable des bases des réseaux TCP/IP, des principes du web (notamment HTTP) et des bases d'Unix ou de Windows sont nécessaires.
Duration
Agenda
This tutorial lasts three days; it is taught in French.
Rappels sur la sécurité des serveurs réseau
Sécurisation d'un serveur
Architecture en strate et cloisonnement
Règles d'administration
Introduction à HTTP
Envoi de cookie
Envoi de données
Visualisation de l'authentification
HTTPS
Fonctionnalités de sécurité disponibles avec HTTP
Filtrage par paramètres de requête
Authentification par nom d'utilisateur / mot de passe
Chiffrement et authentification par certificats (SSL)
Serveur Apache
Présentation
Forces
Installation
Configuration
Exploitation
Serveur Internet Information Services (IIS)
Architecture
Installation
Sécurisation
Outils
HTTPS
Introduction à la cryptographie
Terminologie
Mécanismes et services de sécurité
Algorithmes de chiffrement
Clefs et générateurs pseudo-aléatoires
Fonctions de hachage, signature et scellement
Protocoles d'authentification et d'échange de clefs
Certificats et PKI
Législation française
Critères de choix d'un bon produit de chiffrement
La sécurisation des échanges avec HTTPS
Théorie
Présentation et historique du protocole SSL
Composants de SSL
L'authentification avec SSL
Établissement d'une session
Éléments cryptographiques
utilisés
Protection des données
transférées
Exemple de mise en oeuvre sur un serveur web (avec
démonstration)
La solution et ses composants
Autorité de certification et certificat
serveur
Certificats clients : émission, utilisation
et répudiation
Attaques sur HTTPS
Méthodes d'audit
Sécurité des applications web
Principes de sécurité des applications web
Les failles courantes
Règles de programmation sécurisée
Exemples avec PHP
Pollution de l'espace de nommage
Ouverture de fichiers non locaux (open ou include)
Injection de code
Mesures de sécurité spécifiques
Gestion des sessions d'une application web
HTTP, protocole sans état
Sessions HTTPS
Mauvais exemples
Construction d'un identifiant de session
Mise en place d'un relais HTTP en entrée
Concepts
Typologie des attaques
Paramètres de filtrage
Relais-inverse avec mod_rewrite et mod_proxy
Mod_Rewrite, le module de réécriture
Processus de traitement des requêtes
Interactions entre modules
Configuration en relais inverse
Filtrage d'URL
Rappel des points importants
Conclusion
|
